V Praze včera proběhl druhý ročník konference Trendy v internetové bezpečnosti, kterou uspořádala společnost Internet Info, respektive její weby Root.cz, Měšec.cz, Lupa.cz a Podnikatel.cz. Konference byla rozdělena do tří tématických celků a účastníci se též mohli účastnit zajímavých workshopů, které celý den paralelně probíhaly v druhém sále.
Dopolední část programu se věnovala starým a nový nebezpečím na internetu a provázel jí Petr Krčmář, šéfredaktor serveru Root.cz. Po obědě se konference zaměřila na platby na internetu pro obchodníky, na euroregulaci a aplikaci nového zákona o platebním styku. Odpoledním blokem provedli účastníky konference Michael Hovorka, šéfredaktor serveru Podnikatel.cz a Dalibor Z. Chvátal, šéfredaktor serveru Měšec.cz.
Internetové krádeže se už vyplatí více než drogy
Konferenci zahájil svoji přednáškou Karel Obluk z AVG Technologies CZ, ve které se věnoval webovým hrozbám dneška a zítřka. Zatímco dříve se různé viry šířily především pomocí disket, různých tzv. červů (wormů) a e-maily, v současnosti se pozornost počítačových pirátů zaměřila na webové stránky. Až 80 % útoků přichází z webu,
doplnil Obluk s tím, že množství škodlivých kódů roste exponenciální řadou.
Podle Obluka již také dávno neplatí, že útoky přicházejí pouze z webů s pochybným obsahem. Nejefektivnější útoky naopak přicházejí přes legitimní stránky, za příklad mohou posloužit stránky New York Times, které útočníci napadli v září loňského roku. Na webu se objevil falešný banner, který čtenáře varoval, že mají zavirovaný počítač. Po kliknutí na odkaz došlo k přesměrování na stránku, která nabízela údajný antivir. Stránky New York Times přitom čtou denně miliony lidí.
Karel Obluk také vyvracel mýtus, že většina nebezpečných webů pochází ze zemí typu Ruska či Číny. Většina infikovaných serverů se totiž nachází ve Spojených státech. Více než polovina útoků (infekcí webů) pak sice existuje méně než jeden den, avšak není to díky rychlým správcům, nýbrž kvůli samotným hackerům. Ti se totiž snaží omezit možnosti jejich odhalení.
Základním cílem dnešních útoků je dostat uživatele internetu na své vlastní stránky. Hlavní prostředky pak činí spam a falešné odkazy na existujících populárních stránkách. Cílem dnešních počítačových pirátů se rovněž staly sociální sítě, jejichž velká obliba z nich učinila zajímavý objekt pro útoky hackerů. Jak zdůraznil na závěr svého vystoupení Karel Obluk, zisky z počítačové kriminality předčily zisky z drog.
Novým cílem hackerů se stávají sociální sítě
Stávajícím rizikům na sociálních sítích se následně věnoval workshop Daniela Dočekala, nezávislého publicisty a konzultanta, podle kterého lze na internetu dohledat už například desítky až stovky nepravých Facebooků. Do našich životů se dle Dočekala dostal tzv. Cloud computing, tedy internetový „mrak“, který absorboval velké množství našich osobních údajů a někde „v mraku tak lze najít naše soubory nebo i různé nejtajnější věci. Své soukromí vyměňujeme za komfortní služby,
řekl Dočekal.
Velká část workshopu se zabývala sociální sítí Facebook a především naivitou mnohých jejích uživatelů. Řada lidí uvádí na na Facebooku řadu zbytečných údajů, které se dají lehce zneužít. Různé facebookovské aplikace podle Dočekala vůbec nedodržují bezpečností prvky a lidé jim běžně povolují získávat informace z jejich profilu. Ty se mnohdy dají využít ke zneužití dalších aplikací uživatele, aniž by si to uživatel vůbec uvědomil.
Že se největší riziko nachází mezi klávesnicí a židlí, dokazují různé falešné skupiny na Facebooku, které na nereálné sliby nalákaly až statisíce tuzemských uživatelů. Flagrantním příkladem se stala skupina „Kdo si prohlíží tvůj profil – STALKER CATCHER“, do které se přihlásilo více než 624 000 Čechů.
Dočekal dále připomněl, že administrátoři Facebooku mají prakticky možnost na cokoli se ve každém profilu podívat a existuje tak reálná hrozba, že za vhodnou motivace mohou získané informace zneužívat a prodávat. Soukromí se podle Dočekala s internetem a sociálními sítěmi v podstatě vylučují. Pokud chcete soukromí, nepoužívejte sociální sítě. Nebo ještě lépe, vůbec nepoužívejte internet. Nebo lžete z plného hrdla,
poradil Dočekal.
Útočníci využívají ke krádežím i katastrofy
V hlavním sále mezitím proběhla přednáška Pavola Luptáka ze společnosti Nethemba, která se zabývala bezpečností karet s RFID čipy. Následovala pak panelová diskuze na téma technických a bezpečnostních aspektů pražské karty Opencard. Těsně před zahájením debaty však musel kvůli pracovním povinnostem opustit sál Martin Opatrný z pražského magistrátu a diskuze tak přišla o důležitého diskutéra.
Na řadu pak přišlo vystoupení Miroslava Richtera z firmy T-Mobile. Richter hovořil o systému NFC (Near Field Communication), což je bezkontaktní komunikace na krátkou vzdálenost (do 10 cm) mezi mobilem a dalším zařízením (aktivní či pasivní čtečka, terminál, druhý telefon, apod.). Zneužitelností RFID karet se zabýval workshop Pavola Luptáka, kterému se však během vymezené hodiny nepodařilo do daných karet nabourat.
Před obědem jako poslední vystoupil David Pikálek z České spořitelny, který hovořil hrozbách a trendech v internet bankingu. Zde podle něj dochází k příklonu ke trojským koňům, které dokáží antiviry odhalit asi jen z 20 %. Pikálek poté upozornil, že útočníci zneužívají významných událostí či různých katastrof. Útoky mají především formu varování,
uzavřel dopolední blok Pikálek.
Přístup do firemní sítě za tabulku čokolády
Odpolední část programu odstartoval s tématem Nové bezpečností standardy platebních karet Petr Sládek z Unicredit Group. Sládek definoval tři hlavní způsoby získání dat o kartách. Jde o skimming, což je mechanické zařízení na bankomatu či jiném platebním terminálu, které kopíruje data přímo z karty. Dále se jedná o phishing, tedy získání dat o kartě přímo od držitele karty formou dotazníků. Tento systém využívá nepozornosti a důvěřivosti držitelů karet. Poslední a také nejčastější formou získávání dat o kartách je jejich krádež z databází bank a jiných finančních institucí.
Hlavních 5 kartových společností (VISA, MC, AMEX, JCB, DISCOVER) se proto dohodlo na vytvoření pravidel pro zajištění bezpečnosti dat. Soubor pravidel platí od roku 2006 a dělí se do 12 sekcí. Společnosti se zavázaly vybudovat bezpečné sítě, ochraňovat data držitelů karet, kontrolovat zranitelnost a přístupy a v neposlední řadě pravidelně sledovat a testovat své sítě. Přesto bylo v loňském roce odcizeny údaje u celkem 250 milionů platebních karet,
doplnil Petr Sládek.
Na téma bezpečnosti jednotlivých způsobů plateb na internetu pak proběhla živá panelová diskuze, které se kromě Petra Sládka také zúčastnil Vladimír Brož ze společnost McAfee, Richard Matula z Poštovní spořitelny a Karel Kadlčík ze Sdružení pro bankovní karty ČR. Debata se točila především kolem virtuálních platebních karet a bezpečnosti běžných platebních karet.
Všichni diskutující se shodli na tom, že hlavní problém bezpečnosti zůstává na straně uživatele. Ve Velké Británii jsme dělali průzkum a řada zaměstnanců byla schopná po důkladném sociálním inženýrství vyzradit přístupy do firemních systémů za tabulku čokolády,
uvedl Vladimír Brož. Čtěte také: Největší riziko úniku dat se nachází mezi klávesnicí a židlí.
Myslíte si, že jste dostatečně chráněni proti internetovým hrozbám?
Před odpolední pauzou ještě vystoupili Jana Oborná a Petr Uttendorfský z firmy oXy Online, kteří promluvili o rizikové oblasti práce s e-shopovými databázemi. Ztráta databáze totiž podle nich může znamenat nejen ztrátu důvěry zákazníků, ale i přímé ohrožení prodeje a či legislativní tresty. Ve stejné době pořádal v druhém sále Pavel Stěhule ze sdružení CZ.NIC Workshop na téma SQL injection – princip a ochrana.
Jakými cestami míří peníze ke zlodějům?
Oživení do hlavního sálu pak přinesla přednáška šéfredaktora serveru Lupa.cz Patricka Zandla, který na řadě reálných příkladů popsal metody okrádání na internetu. Podle Zandla se už hackeři přestali soustřeďovat na „velké kšefty“ typu uloupení milionů dolarů, nýbrž se v současnosti soustředí spíše na trvalý, pohodlný a málo nápadný příjem. Internetoví zloději se tak nyní spokojují i se stovkami dolarů, čímž se objektem jejich zájmu můžu stát skoro kdokoli. Patrick Zandl také popsal několik případů internetových krádeží.
Například v americkém Kentucky se hlavnímu pokladníku státu dostal do počítače malware Zeus. Podvodníci pomocí něj získali přihlašovací údaje k bankovnímu účtu státu Kentucky. Otestovali jeho platnost a přes Careerbuilder.com e-mailem našli muly, 25 žen ve věku 35 let,
vysvětlil Zandl. Ty pak dostaly nabídku brigády, když měly za pár set dolarů přepsat nějaký text. Po splnění práce jim však na účet došla částka okolo 10 000 dolarů. Ženy na to „zaměstnavatele“ (tedy hackery) upozornily, obratem dostaly omluvu s tím, že toto se jim stává často a žádost, aby si s částky ponechaly domluvenou sumu 200 dolarů a zbytek poslaly přes Western Union na Ukrajinu. Za týden se podařilo počítačovým pirátům dostat z účtu více než 415 000 dolarů.
Na závěr svého vystoupení potvrdil Patrick Zandl slova svých předřečníků, že se počítačoví zloději začínají čím dál více zaměřovat na sociální sítě a různé mobilní platformy. Zandl také upozornil na nebezpečí zkracovačů adres a na krádeže špatně zabezpečených databází. Na Patricka Zandla pak volně navázal svým workshopem konzultant a publicistaRastislav Turek, který blíže popsal strukturu černého trhu a popsal cestu odcizených peněz až do kapes zlodějů.
Závěr patřil zákonu o platebním styku
Poslední blok konference se věnoval euroregulaci a novému zákonu o platebním styku. Jako první vystoupila Markéta Hálová z České národní banky, které popsala novou právní úpravu poskytování platebních služeb, provádění platebních transakcí a vydávání a používání platebních prostředků.
Konferenci pak paralelně zakončila v hlavním sále panelová diskuze na téma platebního styku a euroregulace a v přilehlých prostorách workshop Petra Kučery z Iuridicum Remedium, který návštěvníky seznámil s s výsledky studie o uchování, zabezpečení a předávání dat o zákaznících ze strany poskytovatelů služeb internetového připojení a „webových“ služeb v České republice. Čtěte více v nejbližších dnech na stránkách konference.
Foto: Tomáš Tesař
ČLÁNKY DO MAILU